KybersääJoulukuu 2019

115.1.2020

#kybersää kertoo kuukauden merkittävistä tietoturvapoikkeamista ja -ilmiöistä. Lukija

saa nopean kokonaiskuvan siitä, mitä kyberturvallisuuskentällä on kauden aikana

tapahtunut. Tilanne voi olla:

huolestuttavarauhallinen vakava

215.1.2020

Kybersää joulukuu 2019

Verkkojen toimivuus Eräässä palvelunestohyökkäyksessä

hyödynnettiin verkon aktiivilaitteen haavoittuvuutta hyökkäyksen teossa.

Aapo-myrsky aiheutti vain vähän toimivuushäiriöitä.

Vuosia jatkunut merkittävien häiriöiden määrän lasku pysähtyi.

Vakoilu Iranin ja Yhdysvaltojen välinen

kiristynyt poliittinen tilanne kasvattaa myös kyberiskujen ja -vakoilun riskiä.

Kaksivaiheinen tunnistaminen ei pidä kybervakoojia ulkona järjestelmistä.

Haittaohjelmat ja haavoittuvuudet Esimerkiksi Citrixin tuotteissa

haavoittuvuus, johon ei ole päivitystä ja jota hyödynnetään hyökkäyksissä.

Lokibot-haittaohjelmaa levitetty aktiivisesti sähköpostitse mm. Turun yliopiston nimissä.

Tietomurrot ja -vuodot Office 365 tietomurto aiheutti

kymmenien tuhansien tappiot suomalaiselle yritykselle.

Varsin laaja Facebook-tunnusten tietomurto, joka ei kuitenkaan sisältänyt salasanoja tai maksukorttitietoja.

Huijaukset ja kalastelut Tilausansojen tehtailu on

automatisoitumassa.

Tilausansoja levitellään tekstiviestein, sähköpostilla, mainoslinkeillä ja hakukoneoptimoinnilla.

IoT ja automaatio Vuosittainen kartoitus paljasti yli

tuhat suojaamatonta laitetta Suomessa.

FBI:n suosittelee pitämään IoT-laitteet muista järjestelmistä eriytetyissä verkoissa.

315.1.2020

Top 5 kyberuhat - merkittävät pidemmän aikavälin ilmiöt

Haavoittuvuuksien hyväksikäyttö nopeutuu, mikä vaatii nopeita päivityksiä. Verkkoon jätetään auki laitteita ja palveluita, joiden tietoturvaa ei ole huomioitu ja suojaustoimet sekä ylläpito ovat puutteellisia.

1

Epäselvä vastuunjako palvelutoimittajan, alihankkijoiden ja tilaajan välillä heikentää tietoturvan hallintaa. Puutteet lokien tarkkailussa vaikeuttavat uhkien havaitsemista.

2Laajavaikutteiset kiristyshyökkäykset uhkaavat liiketoiminnan jatkuvuutta. Yksittäisten tapausten vahingot ovat nousseet kymmeniin miljooniin euroihin.

3

Organisaatiot eivät osaa hallita kyberriskejään. Uhkien vaikutuksia toimintaan ei osata ennakoida, minkä vuoksi riskit aliarvioidaan. Palautumissuunnitelmissa on puutteita.

5

Tietojenkalastelu on erittäin yleistä, ja viestin vastaanottajan voi olla vaikea havaita huijausta. Tätä hyödynnetään myös kohdistetuissa hyökkäyksissä ja vakoilussa.

4

415.1.2020

Kybersään johtopäätökset

5

1. Palvelunestohyökkäyksiä näkyy entiseen malliin, mutta niiden vaikutukset jäävät vähäisiksi. Pesurit ja muut torjuntakeinot näyttävät toimivan.

2. DNSSEC-tietoturvalaajennuksen käyttö parani Suomessa: Digitaalisten palveluiden käyttäminen turvallisemmaksi.

3. Tietoturvaharjoitusskenaariot julkaistiin. Skenaariot täydentävät aikaisemmin julkaistua Kyberharjoitusopasta.

Tietoturvan edistyminen

1. Tietojenkalasteluita ja tilausansoja tehtaillaan automatisoidusti. Organisaatioiden tulee kiinnittää huomiota henkilöstön kykyyn tunnistaa niitä.

2. DNSSECin käyttöönotto on hyvä alku. Tietoturvalaajennuksen käyttö tulisi vielä laajentua teleyrityksistä organisaatioiden verkkotunnusten nimipalvelimiin.

3. Ota järjestelmäpäivitykset osaksi rutiinia. Tunnettuja tietoturva-aukkoja hyödynnetään edelleen, kuten 2019 yleisin haittaohjelma WannaCry.

Tietoturvan kehitystarpeet

15.1.2020

Verkkojen toimivuus

15.1.2020 6

Verkkojen toimivuus

Joulukuussa viisi merkittävää toimivuushäiriötä

Tavanomainen määrä

Aapo-myrsky 18.-19.12. aiheutti suhteellisen vähän toimivuushäiriöitä

Satoja mobiiliverkkojen tukiasemia oli sähköttä Kanta-Hämeestä Etelä-Karjalaan ja Keski-Suomen eteläosiin ulottuvalla alueella. Yhtenäisiä usean tukiaseman katveita oli kuitenkin vähän.

Hätäliikenne toimi koko ajan.

Vuonna 2019 merkittävien toimivuushäiriöiden määrän väheneminen pysähtyi

2016: 150 kpl. 2017: 92 kpl. 2018: 65 kpl. 2019: 67 kpl.

15.1.2020 7

Verkkojen toimivuus

Joulukuussa raportointiin palvelunestohyökkäyksiä tavanomainen määrä.

Hyökkäyksiä toteutettiin mm. isolla määrällä UDP-paketteja sekä TCP SYN tulvalla.

Kohteina oli mm. julkishallintoa sekä media-alan yritys.

Eräässä palvelunestohyökkäyksessä hyökkäys toteutettiin verkkolaitteen ohjelmistohaavoittuvuutta hyödyntämällä.

Haavoittuvuuden avulla hyökkääjät saivat laitteen uudelleenkäynnistymään toistuvasti, joka käytännössä aiheutti palvelunestotilan.

15.1.2020 8

Merkittävien toimivuushäiriöiden määrä

15.1.2020 9

Tässä tilastossa on esitetty ainoastaan yleisten viestintäpalveluiden merkittävät toimivuushäiriöt. Niitä on vuosittain 65–200 ja määrä on laskenut useiden vuosien ajan. Pieniä toimivuushäiriöitä teleyritykset korjaavat satoja päivittäin. Kaikkien häiriötilanteiden määrä on 200ௗ000–450ௗ000 kappaletta vuodessa. Niiden määrä riippuu teleyrityksen tilastointitavasta.

0

2

4

6

8

10

12

14

mar

rask

uu

joulu

kuu

tam

mik

uu

hel

mik

uu

maa

lisku

uhuhtiku

uto

uko

kuu

kesä

kuu

hei

näk

uu

eloku

usy

ysku

ulo

kaku

um

arra

skuu

joulu

kuu

020406080

100120140160180

2015 2016 2017 2018 2019

Tuhansia käyttäjiä (C)

Kymmeniätuhansia käyttäjiä (B)

Satojatuhansia käyttäjiä (A)

Palvelunestohyökkäykset ja niillä uhkailu

Lyhyet alle 15 minuutin hyökkäykset ovat yleisimpiä (85 %). Kappalemääräisesti niitä nähdään tuhansia vuodessa.

Yli puolet havainnoiduista yli 100Mbit/s hyökkäyksistä on volyymiltään 1-10 Gbit/s. Organisaatioiden kannattaakin varautua vähintään tämän volyymin hyökkäyksiin riskiarviossaan.

Yli 10 Gbit/s hyökkäyksiä havaitaan Suomessa päivittäin.

Tietoa palvelunestohyökkäyksistä kerätään suoraan teleyrityksiltä, koska Kyberturvallisuuskeskukselle ilmoitetaan vain murto-osa tapahtuneista palvelunestohyökkäyksistä.

14.8.2019 10

Suurimpia Suomessa viime aikoina havaittuja palvelunestohyökkäyksiä (lähde: teleyritykset)

2019/Q4: n. 54 Gbit/s (kesto 8 min)

2019/Q3: n. 39 Gbit/s (kesto 64 min) Suomeen kohdistuneiden

palvelunestohyökkäysten kesto.

Suomeen kohdistuneiden palvelunestohyökkäysten volyymi.

35,86%

58,21%

6,07% 0,00%

0,1 - 1 Gbit/s

1-10 Gbit/s

10-100 Gbit/s

> 100 Gbit/s

85,23%

10,30%

3,52% 0,81% 0,14%

1-15 min

16-30 min

31-60 min

61-120 min

> 120 min2019/Q2: n. 79 Gbit/s (kesto 4 min)

Vakoilu

1115.1.2020

Vakoilutilanteessa ajankohtaista

1215.1.2020

Lähi-idän tilanne kasvattaa kyberiskun mahdollisuuttaIranin ja Yhdysvaltojen välinen kiristynyt poliittinen tilanne kasvattaa kyberiskujen ja -vakoilun riskiä. Kyberhyökkäystä pidetään Iranin yhtenä mahdollisena keinona reagoida Yhdysvaltojen toimiin alueella. Yhdysvallat on varoittanut kohonneesta kyberriskistä sekä omalla maaperällään että sille tärkeissä kohteissa ulkomailla.

Hakkeriryhmä ohittaa monivaiheisen tunnistamisenFox-IT varoittaa, että Kiinaan yhdistetty hakkeriryhmä on ohittanut kaksivaiheisen tunnistamisen viimeaikaisissa hyökkäyksissään. Fox-IT kutsuu operaatiota nimellä Wocao. Uhreina on ollut valtiollisia tahoja, palveluntarjoajia kuin organisaatioita lukuisilta eri toimialoilta.

Microsoft otti haltuunsa hakkereiden verkko-osoitteitaMicrosoft on ottanut haltuunsa lähes 50 pohjoiskorealaisten hakkerien käyttämää verkkotunnusta. Palvelut jäljittelivät Microsoftin palveluita, ja niiden avulla pyrittiin muun muassa kalastelemaan kohdistetusti tiettyjen Microsoftin asiakkaiden käyttäjätietoja.

Haittaohjelmat ja haavoittuvuudet

15.1.2020 13

Haittaohjelmahavaintomme

Haittaohjelmatyyppi Tilanne

IoT-haittaohjelmat QSnatch-haittaohjelma muodostaa edelleen suuren osan Suomessa tehdyistä havainnoista, mutta havainnot laskussa marraskuuhun verrattuna.

Kiristyshaittaohjelmat Kiristyshaittaohjelmissa tilanne Suomessa rauhallinen.

Etähallittavat haittaohjelmat (RAT)

Etähallittavia haittaohjelmia yritetään levittää edelleen sähköpostin avulla. Yksittäisistä haittaohjelmista pinnalla on Lokibot.

Louhijat Ei merkittäviä louhijahavaintoja tässä kuussa

Tietoja varastavat haittaohjelmat

Levittämisyrityksistä vain vähän havaintoja. Käyttäjätunnuksia kuitenkin kalastetaan aktiivisesti ja myös kohdistetusti.

Mobiilihaittaohjelmat Mobiilihaittaohjelmatapauksista on joitain havaintoja.

Haittaohjelmat

Turun yliopiston nimissä lähetettiin 19.12. haitallisia sähköpostiviestejä, joiden liitteenä on ollut Lokibot-haittaohjelman. Lokibot-haittaohjelman eri versioita on muutenkin liikkeellä, mutta viestien määrä on laskussa.

Mittavia lunnaita vaativa big game hunting –ilmiö jatkuu maailmalla voimakkaana.

Kyberturvallisuuskeskus on avustanut ulkomaisia sisarorganisaatioita Sodinokibi- (REvil) kiristyshaittaohjelman komentopalvelininfrastruktuurin kitkemisessä Suomesta

Frankfurt am Main sulki IT-järjestelmänsä Emotet-haittaohjelmatartunnan takia. Maailmalla on muutenkin paljon Emotet-haittaohjelmaa liikkeellä.

RavnAIR Group on joutunut kyberhyökkäyksen kohteeksi, joka on vaikuttanut erityisesti De Havilland Dash 8 –sarjan koneiden operointiin.

15.1.2020 15

Haavoittuvuudet

Citrix Application Delivery Controller (ADC) sekä Citrix Gateway -tuotteista on löydetty haavoittuvuus, jota pyritään aktiivisesti hyväksikäyttämään. Hyökkääjän on mahdollista suorittaa kohdejärjestelmässä mielivaltaista ohjelmakoodia. Ensimmäiset päivitykset saatavilla arviolta 20. tammikuuta. (Haavoittuvuus 24/2019, TTN 13.1.2020)

SSL VPN tuotteiden keväällä 2019 löydettyjä haavoittuvuuksia käytetään nyt aktiivisesti haittaohjelmien levittämiseen ja big game hunting -toimintaan. Koskee mm. Pulse Securen, Fortinetin SSL VPN tuotteita.

TCP/IP-toteutuksista löydetty haavoittuvuus mahdollistaa saamaan tietoa VPN-yhteyksien tilasta ja liittämään dataa VPN-tunneloituun liikenteeseen (Haavoittuvuus 23/2019)

Android-laitteita koskevaa StrandHogg-haavoittuvuutta hyödynnettiin haittaohjelmissa. (Haavoittuvuus 22/2019)

15.1.2020 16

Tietomurrot ja -vuodot

1715.1.2020

Tietomurrot ja -vuodot

Office 365 –tietomurroista koituu kustannuksia suomalaisyrityksille. Toisaalta jouluna ilmoitetut tietomurrot vähenivät. Yksittäisen Office 365 –tietomurron seurauksena suomalaiselta yritykseltä

onnistuttiin laskutuspetoksella huijaamaan kymmeniä tuhansia euroja. Rahoja ei onnistuttu palauttamaan uhrille.

Joulukuun alkupuolella Office 365 –tietomurtoilmoituksia tuli useita päivittäin, mutta joulun aikaan ilmoitukset loppuivat täysin yli viikoksi. Syynä ilmoitusten määrän vähenemiseen on todennäköisesti lomakausi.

Joulukuun lopulla tuli julki 267 miljoonan Facebook-käyttäjän tietojen vuotaminen julkisuuteen. Vuotaneita tietoja olivat käyttäjän nimi, Facebook-tunnus sekä puhelinnumero,

muttei esimerkiksi salasanoja tai maksukortin tietoja vuotanut.

Vuodettuja tietoja ei todennäköisesti ole saatu tietomurron seurauksena, vaan ne on kerätty julkisesti saatavilla olleista rajapinnoista, käyttöehtojen vastaisesti.

15.1.2020 18

Suojautumisohjeita tietomurtojen varalta

Käytä eri salasanaa jokaisessa palvelussa.

Muista päivittää käyttöjärjestelmä ja käyttämäsi ohjelmistot.

Säilytä salasanoja turvallisesti.

Vaihda salasanasi, jos epäilet tai tiedät sen joutuneen vääriin käsiin.

Käytä monivaiheista tunnistamista, jos käyttämissäsi palveluissa sellainen on mahdollista.

15.1.2020 19

Huijaukset ja kalastelut

2015.1.2020

Tietojenkalastelut

Office 365 -palvelun käyttäjätunnusten tietojenkalastelu jatkui joulukuussakin vilkkaana ja johti uusiin tietomurtoihin lähes päivittäin. Murrettuja tilejä käytettiin edelleen uusiin tietojenkalasteluihin.

Kaikkien kotimaisten liikepankkien pankkitunnuksia kalasteltiin aktiivisesti.

Lisäksi muut rahaliikennepalvelut, kuten PayPal kiinnostavat huijareita.

Verkkopalveluista Netflix- ja LinkedIn-tunnuksia kalasteltiin runsaasti joulukuussa.

15.1.2020 21

Verkkohuijaukset

Tilausansat tuntuvat olevan taas kasvussa

Tilausansoja levitetään runsain määrin tekstiviesteillä, sähköpostilla, verkkomainosten ja sosiaalisen median kautta.

Maksuttomiin verkkotunnuksiin perustetaan tuhansittain huijaussivustoja, joille käyttäjiä ohjataan hakukoneoptimoinnin kautta: melkein millä tahansa hakusanalla voi päätyä tilausansaan.

Tilausansojen ja muiden huijausten tehtailu verkkosivuille on automatisoitunut.

Sijoitushuijauksia markkinoidaan ulkomaisista ja väärennetyistä puhelinnumeroista.

Umpeutuvia verkkotunnuksia rekisteröidään mm. valeverkkokauppoihin ja erityyppisiin huijauksiin.

15.1.2020 22

Office 365 –huijauksen vaiheet

15.1.2020 23

2415.1.2020

Käsiteltyjä huijaustapauksia 2019/06–12

0

50

100

150

200

250

300

350

400

450

kesä heinä elo syys loka marras joulu

KiristyshuijausToimitusjohtajahuijausTilausansaTietojenkalastelu

IoT ja automaatio

2515.1.2020

IoT ja automaatio

Kyberturvallisuuskeskuksen vuosittainen automaatiolaitteiden tarkastus paljasti reilu tuhat laitetta, joista suurin osa lukeutuu rakennusautomaation piiriin. Raportti havaintoineen sekä suositukset ylläpitäjille: https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/hieman-yli-tuhat-automaatiolaitetta-suojaamattomana-suomalaisissa-verkoissa

FBI on julkaissut joukon suosituksia IoT-laitteisiin liittyen.

Tarkastuslista: https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/hieman-yli-tuhat-automaatiolaitetta-suojaamattomana-suomalaisissa-verkoissa

Tietoturva-alan kehitys

2715.1.2020

Oikeudelliset asiat

Kyberturvamerkin pohjana toiminutta teknistä spesifikaatiota muutetaan eurooppalaiseksi standardiksi, jonka lausuntokierros on käynnissä. ETSI 303645.

Digi- ja väestötietovirasto aloitti toimintansa 1.1.2020, kun Väestörekisterikeskus, maistraatit ja Itä-Suomen aluehallintovirastossa toimiva Maistraattien ohjaus- ja kehittämisyksikkö yhdistyivät. Ks. tarkemmin https://dvv.fi/digi-ja-vaestotietovirasto

1.1.2020 voimaan tulleen tiedonhallintalain nojalla on annettu Valtioneuvoston asetus julkisen hallinnon tiedonhallintalautakunnasta (1338/2019). Asetus tuli voimaan 1.1.2020

Euroopan Parlamentin ja Neuvoston päätös (EU) 2019/2071, annettu 5 päivänä joulukuuta 2019, Euroopan tietosuojavaltuutetun nimittämisestä, https://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:32019D2071&from=FI

15.1.2020 28

Cloud Hopper

Cloud Hopper on vuonna 2016 tietoisuuteen tullut, kiinalaisiin toimijoihin yhdistetty, yrityksiin kohdistunut laaja tietomurtosarja.

WSJ:n mukaan tietomurron vaikutukset ovat olleet luultua laajemmat. Kokonaisuuteen liittyi useita pilvipalveluidentarjoajia, mm. Suomessa toimiva Tieto.

Tiedon mukaan sen omissa järjestelmissä ei ollut merkkejä tietomurroista.

https://www.wsj.com/articles/ghosts-in-the-clouds-inside-chinas-major-corporate-hack-11577729061

https://www.hs.fi/talous/art-2000006361021.html

Alaskalainen lentoyhtiö kyberhyökkäyksen kohteena

Alaskalainen RavnAir on joutunut keskeyttämään tietyn konetyyppiinsä lennot kyberhyökkäyksestä johtuen.

Yhtiön tiedotteen mukaan se katkaisi yhteyden lentokoneiden ylläpitojärjestelmään ja sen varajärjestelmään kyberhyökkäyksen takia.

Saman koneperheen lentokoneita on laajasti käytössä Euroopassa mm. airBalticilla, Air Icelandilla ja Eurowingsillä.

https://www.flightglobal.com/fleets/network-attack-disrupts-ravnair-dash-8-fleet/135964.article

Huawei kommentoi Supon toimintaa

Huawein mukaan Yhdysvallat on levittänyt sen tuotteista väärää tietoa muiden maiden tiedusteluviranomaisille yli vuoden ajan – myös Supolle.

Supon mukaan se muodostaa kantansa itse, oman tiedonhankinnan, analyysin ja kansainvälisen yhteistyön pohjalta.

Supon päällikkö Antti Pelttari peräänkuuluttaa poliittisen keskustelun käymistä 5G:stä.

https://www.is.fi/digitoday/tietoturva/art-2000006353678.html

https://www.is.fi/digitoday/tietoturva/art-2000006348909.html

Kyberasioihin liittyvää uutisointia maailmalta

2915.1.2020

Kiitos.kyberturvallisuuskeskus.fi

30